Аудит прав доступа к реестру

Контроль за правами доступа к реестру является прекрасным способом отслеживания настроек реестра, и это один из тех методов, которые обсуждаются в гл. 8. Это также удобный способ отслеживания доступа к тонким настройкам. Проблема контроля реестра состоит в том, что вы либо должны точно знать, какой ключ следует контролировать, либо вам придется заплатить львиной долей производительности за наблюдение за слишком большой частью реестра. Грань между получением требуемой информации и приведением компьютера в состояние полной остановки очень тонка.
Контроль ключей состоит из трех шагов: во-первых, вы должны включить Audit Policy (политику аудита). Вы можете сделать это в сети посредством Group Policy, но это кажется глупым, учитывая сильное снижение производительности. Если вы используете контроль в качестве инструмента для разрешения проблем или поиска настроек, включите Audit Policy локально. Щелкните на кнопке Start, Control Panel, Performance And Maintenance, Administrative Tools и Local Security Policy (Локальная политика безопасности). На левой панели, в разделе Local Policies (Локальные политики), щелкните на Audit Policy (Политика аудита). В правой панели щелкните дважды на Audit Object Access (Аудит доступа к объектам), а затем установите флажки Success (Успех) и Failure (Отказ). После того, как вы включили Audit Policy, используйте Regedit для аудита отдельных ключей.
1. В Regedit щелкните на ключе, который вы хотите контролировать.
2. В меню Edit выберите пункт Permissions; затем щелкните на Advanced.
3. На закладке Auditing (Аудит), показанной на рисунке 7.3, щелкните
на Add.
4. В диалоговом окне Select Users, Computers, Or Groups (Выбор: Пользо
ватели или Группы), щелкните на Locations (Размещение…), а затем
щелкните на компьютере, домене или организационной единице, в
которой вы хотите выбрать пользователя или группу, которых вы хо
тите контролировать.
5. В поле Enter The (5bj ect Names To Select (Введите имена выбираемых
объектов) введите имя пользователя или группы, которых вы хотите
добавить к списку аудита ключа, а затем нажмите на ОК.
6. В диалоговом окне Auditing Entry For… (Элемент аудита для…) в спис
ке Access (Доступ) установите оба флажка Successful (Успех) и Failed
(Отказ), расположенные рядом с видами деятельности, для которых
вы хотите контролировать удачные и неудачные попытки. Они соот
ветствуют разрешениям, о которых вы узнали в разделе «Установка
прав доступа к ключам» ранее в этой главе.
Full Control (Полный доступ)
Query Value (Запрос значения)
Set Value (Задание значения)
Create Subkey (Создание подраздела)
Enumerate Subkeys (Перечисление подразделов)
Notify (Уведомление)
Create Link (Создание связи)
Delete (Удаление)
Write DAC (Запись DAC)
Write Owner (Смена владельца)
Read Control (Чтение разрешений)
После включения Audit Policy и аудита конкретных ключей, проверьте результаты аудита с помощью Event Viewer (просмотра событий). Для того чтобы открыть Event Viewer, щелкните мышью на кнопке Start, а затем выберите Control Panel, Performance And Maintenance, Administrative Tools, а затем Event Viewer (Просмотр событий). В левой панели Event Viewer щелкните на Security (Безопасность). В правой панели вы увидите список всех обращений к контролируемому ключу, и самые последние обращения будут находиться на самом верху списка. Щелкните дважды мышью на любом элементе списка, чтобы увидеть дополнительную информацию. Диалоговое окно Event Properties (Свойства события) говорит вам, какого типа доступ был зафиксирован Windows XP, tun объекта, а также процесс, который производил доступ к ключу или значению. Глава 8 покажет вам, как использовать эту информацию для определения того, где в реестре Windows XP или программа хранит конкретные настройки.